Desde Términos y Condiciones, como firma legal especializada en Seguridad de la Información y Privacidad, ayudamos a las empresas e instituciones públicas y privadas de Baleares a desarrollar sus negocios y proyectos aportando la seguridad de conocer las exigencias de la normativa y cómo cumplirlas.
Por esa razón, informamos sobre el impacto que tendrá para las empresas la nueva Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley de Protección del Informante).
En síntesis, destacamos los siguientes aspectos de la Ley de Protección del Informante. Por una parte, el 16 de febrero de 2023, el Congreso español aprobó la Ley de Protección de Informantes, por la que se transpone la Directiva Whistleblowing (que establece normas mínimas comunes de protección de los informantes en toda la Unión Europea). El 13 de marzo, la normativa entró en vigor en España.
La finalidad principal de la ley gira en torno a la protección total de los informantes contra cualquier tipo de represalia que pueda dañar su bienestar físico o psíquico. Se amplía la protección no solo para los empleados, sino para todas aquellas personas que tienen vínculos profesionales con las empresas, como pueden ser voluntarios, personas que participan en procesos de selección, trabajadores en prácticas, ex empleados o familiares y amigos que presten asistencia a los informantes.
La comunicación de las infracciones se realizará, preferentemente, a través de sistemas internos de información dentro del seno de las empresas.
Todas las empresas que cuenten con 50 empleados o más deberán implantar un sistema interno de información o canal de denuncias. En empresas de 50 a 249 empleados la fecha límite será el 1 de diciembre de 2023. Las empresas con 250 empleados o más tienen 3 meses para implementar un canal de denuncias, siendo la fecha límite el 13 de junio de 2023.
Es obligatorio contar con una política que anuncie los principios generales en materia de sistemas internos de información y defensa del informante y que sea debidamente publicitada en la empresa. Los canales internos deben permitir la presentación y posterior tramitación de comunicaciones anónimas. Es obligatorio una duración máxima de tres meses desde que se comunica una infracción hasta que es investigada, salvo que la complejidad requiera una ampliación de plazo, lo que supondría un máximo de tres meses adicionales.
Se establece el derecho del informante a conocer en todo momento el proceso de gestión de su comunicación para garantizar así una buena investigación.
Los sistemas de información deben estar diseñados, establecidos y gestionados de forma segura y confidencial, de modo que la identidad del informante y de cualquier tercero mencionado en la comunicación, gestión y tramitación de la misma esté protegida. Por protección de datos, se impide el acceso de personal no autorizado.
Es obligatorio la designación de un responsable que gestione el sistema interno de información que, además, deberá desarrollar sus funciones de forma independiente respecto del resto de los órganos de organización de la empresa. Asimismo, deberá ser un alto directivo de la entidad o en las empresas en las que ya existiera un responsable de la función de cumplimiento normativo, podrá ser él mismo el responsable del sistema.
La Ley contempla el establecimiento de una Autoridad Independiente de Protección del Informante que actúe en la gestión de las infracciones y comunique la gestión del canal externo de comunicaciones. Este ente autónomo deberá adoptar las medidas de protección al informante previstas en la Ley.
Las sanciones por incumplimiento de la Ley irán desde leves, hasta graves y muy graves. Las empresas podrán ser multadas con hasta 1 millón de euros por sanciones muy graves. Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.
Las sanciones por infracciones muy graves de cuantía igual o superior a 600.001 euros impuestas a entidades jurídicas podrán ser publicadas en el Boletín Oficial del Estado, tras la firmeza de la resolución en vía administrativa.